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Beschrelbung 

Die Erfindung betritft ein Verfahren der Pro- 
grammierung einer Chipkarte fUr mehrere Anwen- 
dungen, welche mehrere nichtflQchtig beschreibba- 
re Speicherbereiche beinhaltet, wobei alle Spei- 
cherbereiche gegen Beschreiben gesichert sind. 

Aus der EP-A-01 52024 ist eine Chipkarte be- 
kannt, deren Speicher in verschiedene Zonen auf- 
geteilt ist. Ein im Chip befindlicher Zugangscontrol- 
ler wird vor der Ausgabe der Karte entsprechend 
programmiert, so daB der Zugang bzw. die Zu- 
gangserlaubnis zu verschiedenen Zonen festgelegt 
wird. Damit kann eine Auswahl von Personen Zu- 
gang zu bestimmten Terminals erhalten. Derartige 
Chipkarten werden vor ihrem ersten Gebrauch fQr 
die vorgesehenen Anwendungsbereiche erschlos- 
sen, indem in die fUr diese Bereiche vorgesehenen 
Speicher der Chips Anwenderroutinen geiaden wer- 
den. 

Eine Anderung der Anwendungsmoglichkeiten 
der Chipkarten ist nicht erwahnt 

Die Problematik des Herstellers oder der Kar- 
tenausgabestelle dieser Karten besteht also darin. 
daB in der Regel nicht bekannt ist, welche Anwen- 
dungen vom Karteninhaber im Laufe der Dauer der 
Nutzung der jeweiligen Karte sich andern kSnnen. 

Bei einer Ver&nderung und/oder Erweiterung 
der Anwendungsbereiche durch den Karteninhaber 
muB eine neue Chipkarte gefertigt und program- 
miert werden. 

Der Erfindung liegt die Aufgabe zugrunde, ein 
Verfahren anzugeben, mrt dem die Karten auch 
nach einer Erstprogrammierung geandert oder wei- 
teren neuen Anwendungsbereichen zuganglich ge- 
macht werden konnen, ohne daB dies der Sicher- 
heit der Karten abtraglich ist. 

Die Losung dieser Aufgabe besteht darin, daB 
nur die Speicherbereiche, die fQr die mehreren 
Anwendungen bendtigt werden, beschrieben wer- 
den, und daB nur eine Kontrollinstanz den Spei- 
cherbereichen zugeordnete Kontroll-Flags aufheben 
kann und einzelne Speicherbereiche neu beschrei- 
ben oder l&schen kann. 

Weitere vorteilhafte Ausgestaltungen dieser Er- 
findung sind in den linteransprQchen naher ge- 
kennzeichnet. 

Der Kartenherausgeber, bzw. die Stelle, bei der 
die Karte erstmals "personalisiert" wird, verfQgt in 
der Regel Qber ein Instrumentarium (kryptologische 
Funktionen), urn Verwaltungsfunktionen mit der 
Karte auszufUhren. Dieses kann auch fUr die Kon- 
trolle der Ladbarkeit neuer Anwendungen verwen- 
det werden. 

Der eigentliche Mechanismus besteht darin, 
daB der Kartenherausgeber (bzw. eine Kontrollin- 
stanz) in einer Anwendung, die bei der Erstperso- 
nalisierung in die Karte programmiert wird, ein Kon- 



troll-Flag fUr diese und jede mdgltche nach I ad bare 
Anwendung setzt. 

Dieses Kontroll-Flag ist der eigentliche Be- 
standteil des Mechanismus. Es kann nur durch den 

s Kartenherausgeber (bzw. eine Kontrollinstanz) und 
mit dessen Verwaltungsfunktionen in den "nachla- 
den erlaubt" -Zustand gesetzt werden. Danach ist 
das Laden der gewUnschten Anwendungen mdg- 
lich. Durch die Programmierung dieser Anwendun- 

10 gen wird das Kontroll-Flag zurUckgesetzt. 

Ein weiteres Oberschreiben des nun einpro- 
grammierten Programms ist nicht mogltch. Auch 
das einmalige programmieren kann zusStzlich mit 
einer Schutzfunktion abgesichter sein, die jedoch 

is unabhSngig von der VerwaVtungsfunktion der Kar- 
tenherausgeber (bzw. der Kontrollinstanz) sein soil- 
te, urn die Sicherheitsverantwortung fUr die ge- 
samte Karte immer beim Kartenherausgeber (bzw. 
der Kontrollinstanz) zu belassen. 

20 Der Kartenherausgeber (bzw. die Kontrollin- 

stanz) kontrolliert somit stets wieviele Anwendun- 
gen auf der Karte insgesamt eingebracht werden 
und verfUgt Qber das Wissen, welche Karten Uber- 
haupt fQr die Einbringung vorbereitet wurden. 

25 Es ist nach diesem Mechanismus mSglich, die 

Karte zunMchst nur mit einer Anwendung zu produ- 
zieren, aber auf Wunsch des Kartenbesitzers spS- 
ter, mittels der Verwaltungsfunktionen fUr die Ein- 
bringung einer zusStztichen Anwendung zu aktivie- 

30 ren. Auch ein Mechanismus zum L6schen eines 
Anwendungsbereichs, der ebenfalls Uber die Ver- 
waltungsfunktion abgesichert sein solhte, ist hter- 
durch denkbar und sinnvoll, urn grSBtm6gliche Fle- 
xibilitat zu gewahrleisten. 

35 Wichtig fQr die Sicherheitskonzeption einer sol- 

chen Multifunktionskarte ist, daB stets der Heraus- 
geber der Karte (bzw. die Kontrollinstanz) die Kon- 
trolle Uber die Einbringung aller Anwendungen auf 
die Karte besitzt, und somit das jeweilige Sicher- 

40 heitskonzept fUr die jeweilige Kartenverwaltung v5l- 
lig unabhangtg von der Programmierung der ver- 
schiedenen Anwendungen bleibt. 

PatentansprU che 

45 

1. Verfahren der Programmierung einer Chipkarte 
fUr mehrere Anwendungen. welche mehrere 
nichtflQchtig beschreibbare Speicherbereiche 
beinhaltet, wobei alle Speicherbereiche gegen 

so Beschreiben gesichert sind, dadurch gekenn- 

zelchnet, daB nur die Speicherbereiche, die 
fUr die mehreren Anwendungen bendtigt wer- 
den, beschrieben werden, und daB nur eine 
Kontrollinstanz den Speicherbereichen zuge- 

55 ordnete Kontroll-Flags aufheben kann und ein- 

zelne Speicherbereiche neu beschreiben oder 
loschen kann. 
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2. Verfahren nach Anspruch 1, dadurch gekenn- 
zelchnet, daB eine kryptologische Funktion 
zur Aufhebung und zum Setzen der Kontroll- 
Rags dient 



3. Proc666 selon la revendication 1, caract6ris6 
en ce qu'on reconnaft au moyen des indica- 
teurs de controle a quel domaine duplication 
la carte a circuit integr£ est destinSe. 
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3. Verfahren nach Anspruch 1 , dadurch gekenn- 
zelchnet, daB anhand der Kontroll-Flags er- 
kannt wird, fUr welche Anwendungsbereiche 
die Chipkarte erschlossen ist. 



4. Proc6de selon la revendication 1, 2 ou 3, ca- 
racteris6 en ce que r instance de controle est 
un poste de contr6le de cartes. 
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4. Verfahren nach Anspruch 1. 2 Oder 3, da- 
durch gekennzelchnet, daB die Kontrollin- 
stanz eine Kartenausgabestelle ist 



1. A method for programming a chip card for 
several applications containing several memory 
areas that may be permanently overwritten, 
whereby all memory areas are write-protected, 20 
characterised in that only the memory areas 

that are required for the several applications 
are written to and in that only a controlling 
body can raise the control flags assigned to 
those memory areas and overwrite or delete 25 
individual memory areas. 

2. A method in accordance with claim 1, charac- 
terised in that a cryptological function is used 

to raise and insert the control flags. 30 

3. A method in accordance with claim 1, charac- 
terised in that the application areas for which 
the chip card has been programmed may be 
recognised by means of the control flags. 35 

4. A method in accordance with claim 1 , 2 or 3. 
characterised in that the controlling body is a 
card issuer. 



Revendlcattons 

1. Proc6d£ de programmation d'une carte a cir- 
cuit integrg k usages multiples, qui contient 
plusieurs zones de m€moire d*6criture non vo- 45 
latile, dans laquelle toutes tes zones m£moire 
sorrt protegees centre r^criture, caract£ris€ en 

ce que seules les zones mSmoire qui sont 
necessaires pour les usages multiples sont 
Scrrtes, et en ce que seule une instance de so 
controle peut supprimer les indtcateurs de 
controle associ6s aux zones m6 moire et r66- 
crire ou efface r des zones m£moire individuel- 
les. 

56 

2. Proc6d£ selon la revendication 1, caract£ris£ 
en ce qu'une fonction de cryptage sert & sup- 
primer et a placer les indicateurs de contr6le. 



Claims 
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